Applica i criteri del server Cloud DNS

Questa pagina descrive come configurare i criteri del server Cloud DNS e utilizzarli con le reti Virtual Private Cloud (VPC). Prima di utilizzare questa pagina, consulta la panoramica dei criteri dei server DNS.

Prima di iniziare

L'API Cloud DNS richiede la creazione di un progetto Google Cloud e l'abilitazione dell'API Cloud DNS.

Se crei un'applicazione che utilizza l'API REST, devi creare anche un ID client OAuth 2.0.

1. Se non ne hai già uno, crea un Account Google.
2. Abilita l'API Cloud DNS nella console Google Cloud. Puoi scegliere un progetto Compute Engine o App Engine esistente oppure crearne uno nuovo.
3. Se devi inviare richieste all'API REST, devi creare un ID OAuth 2.0: Configurazione di OAuth 2.0.
4. Nel progetto, prendi nota delle seguenti informazioni che dovrai inserire nei passaggi successivi:
   • L'ID client (xxxxxx.apps.googleusercontent.com).
   • L'ID progetto che vuoi utilizzare. Puoi trovare l'ID nella parte superiore della pagina Panoramica nella console Google Cloud. Puoi anche chiedere all'utente di fornire il nome del progetto che vuole utilizzare nella tua app.

Se non hai mai eseguito Google Cloud CLI, devi eseguire il comando seguente per specificare il nome del progetto ed eseguire l'autenticazione con la console Google Cloud:

gcloud auth login

Per scegliere un progetto diverso da quello scelto in precedenza, specifica l'opzione --project nella riga di comando.

Crea criteri del server DNS

Ogni oggetto dei criteri del server DNS può definire uno qualsiasi dei seguenti criteri del server:

• Un criterio del server in entrata, che consente l'inoltro in entrata
• Un criterio dei server in uscita che specifica uno o più server dei nomi alternativi
• I criteri per i server in entrata e in uscita

Ogni rete VPC può fare riferimento a non più di un criterio del server DNS. Se devi definire l'inoltro in entrata e in uscita per una rete VPC, crea un criterio che definisca sia un criterio in entrata sia uno in uscita.

Crea un criterio del server in entrata

Per creare un criterio del server in entrata, segui queste istruzioni. Cloud DNS crea un insieme di indirizzi IP del forwarding in entrata in ogni rete VPC a cui si applica il criterio. Dopo aver creato il criterio, puoi elencare i punti di ingresso creati da Cloud DNS.

gcloud dns policies create NAME \
    --description=DESCRIPTION \
    --networks=VPC_NETWORK_LIST \
    --enable-inbound-forwarding

resource "google_dns_policy" "default" {
  name                      = "example-inbound-policy"
  enable_inbound_forwarding = true

  networks {
    network_url = google_compute_network.default.id
  }
}

resource "google_compute_network" "default" {
  name                    = "network"
  auto_create_subnetworks = false
}

Crea un criterio per il server in uscita

Puoi creare un criterio del server in uscita per modificare l'ordine di risoluzione dei nomi di una rete VPC indirizzando tutte le query DNS a un server dei nomi alternativo. Per farlo, segui queste istruzioni. Prima di iniziare, assicurati di comprendere le differenze tra routing standard e privato e i requisiti di rete per i server dei nomi alternativi.

gcloud dns policies create NAME \
    --description=DESCRIPTION \
    --networks=VPC_NETWORK_LIST \
    --alternative-name-servers=ALTERNATIVE_NAMESERVER_LIST \
    --private-alternative-name-servers=PRIVATE_ALTERNATIVE_NAMESERVER_LIST

resource "google_dns_policy" "default" {
  name = "example-outbound-policy"

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.default.id
  }
}

resource "google_compute_network" "default" {
  name                    = "network"
  auto_create_subnetworks = false
}

Crea un criterio del server per entrambi

gcloud dns policies create NAME \
    --description=DESCRIPTION \
    --networks=VPC_NETWORK_LIST \
    --alternative-name-servers=ALTERNATIVE_NAMESERVER_LIST \
    --private-alternative-name-servers=PRIVATE_ALTERNATIVE_NAMESERVER_LIST \
    --enable-inbound-forwarding

resource "google_dns_policy" "example_policy" {
  name                      = "example-policy"
  enable_inbound_forwarding = true

  enable_logging = true

  alternative_name_server_config {
    target_name_servers {
      ipv4_address    = "172.16.1.10"
      forwarding_path = "private"
    }
    target_name_servers {
      ipv4_address = "172.16.1.20"
    }
  }

  networks {
    network_url = google_compute_network.network_1.id
  }
  networks {
    network_url = google_compute_network.network_2.id
  }
}

resource "google_compute_network" "network_1" {
  name                    = "network-1"
  auto_create_subnetworks = false
}

resource "google_compute_network" "network_2" {
  name                    = "network-2"
  auto_create_subnetworks = false
}

Elenca punti di contatto dello forwarding in entrata

Quando un criterio del server in entrata si applica a una rete VPC, Cloud DNS crea un insieme di indirizzi IP interni a livello di regione che fungono da destinazioni a cui i sistemi on-premise o i resolver dei nomi possono inviare richieste DNS. Questi indirizzi fungono da punti di ingresso per l'ordine di risoluzione dei nomi della rete VPC.

Le regole firewall di Google Cloud non si applicano agli indirizzi interni a livello di regione che fungono da punti di ingresso per i forwarding in entrata. Cloud DNS accetta automaticamente il traffico TCP e UDP sulla porta 53.

Ogni mittente in entrata accetta e riceve query dai tunnel Cloud VPN o dai collegamenti Cloud Interconnect (VLAN) nella stessa regione dell'indirizzo IP interno a livello di regione. Le istanze VM possono accedere allo forwarding in entrata tramite uno qualsiasi degli indirizzi IP interni nella stessa rete VPC. Per accedere all'inoltro in entrata, l'interfaccia di rete deve avere un indirizzo IP esterno oppure una subnet del NIC deve avere l'accesso privato Google abilitato.

gcloud compute addresses list \
    --filter='purpose = "DNS_RESOLVER"' \
    --format='csv(address, region, subnetwork)'

Aggiorna i criteri DNS

Le seguenti sezioni forniscono informazioni sulla modifica delle reti VPC e sull'attivazione o disattivazione dell'inoltro in entrata.

Modifica reti VPC

L'elenco seguente descrive cosa succede quando modifichi l'elenco di reti VPC a cui viene applicato un criterio DNS:

• Se il criterio specifica un criterio in entrata, i punti di ingresso per i forwarding in entrata vengono creati nelle reti VPC in base alle esigenze.

• Se il criterio specifica un criterio in uscita, l'ordine di risoluzione dei nomi di ogni rete VPC viene aggiornato in modo da indirizzare tutte le richieste a un server dei nomi alternativo.

gcloud dns policies update NAME \
    --networks=VPC_NETWORK_LIST

Attivare o disattivare l'inoltro in entrata

Puoi abilitare l'inoltro in entrata per un criterio del server DNS che definisce solo un criterio in uscita (server dei nomi alternativo). Puoi anche disabilitare l'inoltro in entrata per un criterio DNS esistente.

gcloud dns policies update NAME \
    --enable-inbound-forwarding

gcloud dns policies update NAME \
    --no-enable-inbound-forwarding

Elenca criteri DNS

gcloud dns policies list

Elimina un criterio DNS

gcloud dns policies delete NAME

Requisiti di rete alternativi dei server dei nomi

Quando Cloud DNS invia richieste a server dei nomi alternativi, invia pacchetti con gli intervalli di origine elencati nella tabella seguente.

Server dei nomi alternativi di tipo 1 e tipo 2

Cloud DNS richiede quanto segue per accedere a un server dei nomi alternativo di Tipo 1 o di Tipo 2. Questi requisiti sono gli stessi se il server dei nomi è un indirizzo IP RFC 1918 e se utilizzi il routing standard o se scegli il routing privato:

• Configurazione firewall per 35.199.192.0/19

  Per i server dei nomi di Tipo 1, crea una regola firewall di autorizzazione in entrata per la porta TCP e UDP 53, applicabile ai server dei nomi alternativi in ogni rete VPC configurata per utilizzare un criterio in uscita che specifica il server dei nomi. Per i server dei nomi di Tipo 2, configura un firewall di rete on-premise e attrezzature simili per consentire la porta TCP e UDP 53.

• Routing al server dei nomi alternativo

  Per i server dei nomi di Tipo 1, Cloud DNS utilizza una route subnet per accedere al server dei nomi nella rete VPC configurata per utilizzare un criterio in uscita che specifica il server dei nomi. Per i server dei nomi di Tipo 2, Cloud DNS utilizza route dinamiche o statiche personalizzate, ad eccezione delle route statiche taggate, per accedere al server dei nomi.

• Torna la route a 35.199.192.0/19 attraverso la stessa rete VPC

  Per i server dei nomi di Tipo 1, Google Cloud aggiunge automaticamente una route di ritorno speciale per la destinazione 35.199.192.0/19. Per i server dei nomi di tipo 2, la rete on-premise deve avere una route per la destinazione 35.199.192.0/19, il cui hop successivo si trova nella stessa rete VPC e nella stessa regione da cui ha avuto origine la richiesta, attraverso un tunnel Cloud VPN o un collegamento Cloud Interconnect (VLAN). Per informazioni su come soddisfare questo requisito, consulta le strategie di percorso di ritorno per i server dei nomi di Tipo 2.

• Risposta diretta da un server dei nomi alternativo

  Cloud DNS richiede che il server dei nomi alternativo che riceve i pacchetti sia quello che invia le risposte a 35.199.192.0/19. Se il tuo server dei nomi invia la richiesta a un server dei nomi diverso e quell'altro server dei nomi risponde a 35.199.192.0/19, Cloud DNS ignora la risposta. Per motivi di sicurezza, Google Cloud si aspetta che l'indirizzo di origine della risposta DNS di ogni server dei nomi alternativo corrisponda all'indirizzo IP del server dei nomi alternativo.

Strategie di percorso di ritorno per i server dei nomi di Tipo 2

Le risposte dei server dei nomi di tipo 2 non possono essere inviate tramite Internet, attraverso una rete VPC diversa o verso un'altra regione (anche nella stessa rete VPC). Le risposte devono tornare alla stessa regione e alla stessa rete VPC, ma possono utilizzare qualsiasi tunnel Cloud VPN o collegamento Cloud Interconnect (VLAN) nella stessa regione e nella stessa rete.

• Per i tunnel Cloud VPN che utilizzano il routing statico, crea manualmente una route nella rete on-premise la cui destinazione è 35.199.192.0/19 e il cui hop successivo è il tunnel Cloud VPN. Per i tunnel Cloud VPN che utilizzano il routing basato su criteri, configura il selettore di traffico locale di Cloud VPN e il selettore di traffico remoto del gateway VPN on-premise in modo che includano 35.199.192.0/19.
• Per i tunnel Cloud VPN che utilizzano il routing dinamico o per Cloud Interconnect, configura un annuncio di route personalizzata per 35.199.192.0/19 nella sessione BGP del router Cloud che gestisce il tunnel o il collegamento VLAN.

Digita 3 server dei nomi alternativi

Quando Cloud DNS utilizza il routing standard per accedere a un indirizzo IP esterno, si aspetta che il server dei nomi alternativo sia un sistema su internet, accessibile pubblicamente oppure un indirizzo IP esterno di una risorsa Google Cloud.

Ad esempio, un server dei nomi alternativo di Tipo 3 include l'indirizzo IP esterno di una VM in una rete VPC diversa.

Il routing privato ai server dei nomi alternativi di Tipo 3 non è supportato.

Passaggi successivi

• Per trovare soluzioni ai problemi comuni che potresti riscontrare quando utilizzi Cloud DNS, consulta Risoluzione dei problemi.
• Per una panoramica di Cloud DNS, consulta la panoramica di Cloud DNS.